目前勒索病毒仍然是全球最大的威胁，最近一年针对企业的勒索病毒攻击越来越多，不断有新型的勒索病毒出现，各企业一定要保持高度的重视，大部分勒索病毒是无法解密的，近期国外安全研究人员发现了一款基于PowerShell脚本的勒索病毒FTCode，此勒索病毒主要通过垃圾邮件进行传播

从恶意服务器下载PowerShell脚本执行，服务器URL地址：

hxxp://home.southerntransitions.net/?need=9f5b9ee&vid=dpec2&81038

打开恶意服务器脚本，如下所示：

恶意服务器URL

hxxp://home.southerntransitions.net/?need=6ff4040&vid=dpec2&，脚本内容，如下所示：

需要支付500美元进行解密，勒索病毒解密网站

837K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4q4$3L8K6g2K6k6o6N6H3y4i4W2S2P5Y4N6T1M7X3N6A6L8$3E0&6y4%4u0V1N6e0c8$3M7$3I4^5M7X3y4S2k6i4u0#2K9r3A6J5y4%4A6@1L8U0y4@1x3Y4m8A6K9s2l9#2y4X3g2%4L8s2q4V1i4K6u0W2L8$3&6A6L8$3&6Q4x3V1k6Q4x3@1k6Y4N6h3W2V1i4K6y4p5i4K6g2n7k6%4g2A6k6q4)9#2c8l9`.`.

IOC

HASH

A5AF9F4B875BE92A79085BB03C46FE5C

C&C

185.158.248.151

185.120.144.147

home.southerntransitions.net

connect.southerntransitions.com

URL

hxxp://home.southerntransitions.net/?need=9f5b9ee&vid=dpec2&81038

hxxp://home.southerntransitions.net/?need=6ff4040&vid=dpec2&

hxxp://connect.southerntransitions.com/

hxxp://home.hopedaybook.com/?need=9f5b9ee&vid=dpec1&9337

hxxp://home.southerntransitions.net/?need=6ff4040&vid=dpec1&

hxxp://home.isdes.com/?need=6ff4040&vid=dpec2&

最近一两年针对企业攻击的勒索病毒越来越多,不断有新的变种以及勒索病毒新家族出现,真的是越来越多了，各企业一定要高度重视,黑产团伙一直在寻找新的攻击目标......

知识星球天天威胁情报内容播放

Robbinhood勒索病毒、Ryuk勒索病毒、NetWire RAT远控

Remcos RAT远控、TrickBot银行木马、NEMTY勒索病毒V1.6

Emotet银行木马、Sapphire勒索病毒、Loki窃密木马

Proyecto RAT远控

最后欢迎大家关注此公众号

本微信公众号专注于各种恶意软件分析与研究、追踪剖析恶意软件背后的黑产运作商业模式，这里不扯一些“假大空”的安全概念和框架，只有实实在在最基础的安全研究、最新的威胁情报、以及笔者的一些安全观点与看法

[培训]科锐逆向工程师培训第53期2025年7月8日开班！